L'aggiunta dell'autenticazione a due fattori tramite OTP rende KeePass più sicuro

No. La sicurezza rimane la stessa + extra spese cognitive.

Presumibilmente il plug-in utilizza OATH HOTP dove il file KeePass o la chiave master viene ricodificato dopo ogni accedere con la prossima password monouso.

Tuttavia, per generare la prossima password sul dispositivo, il plugin richiede un segreto memorizzato sul dispositivo o la normale password per il file KeePass.

La sicurezza di una password monouso proviene da due parti che conoscono la stessa chiave e il contatore - HOTP(Key,Counter) - mentre un utente malintenzionato non conosce la chiave. Se l'utente malintenzionato ha accesso al dispositivo che memorizza l'installazione e i file di KeePass, la sicurezza si ripercuote automaticamente sulla sicurezza della normale password. Se il file KeePass è ancora interoperabile con altri programmi KeePass, non ottieni nulla dall'uso di una password monouso in questo modo.

Le password monouso funzionano bene per l'autenticazione del server poiché entrambi gli endpoint client e server sono considerati sicuri e l'autore dell'attacco ha bisogno di qualcosa che possiedi e di qualcosa che conosci '. Se l'utente malintenzionato ha il tuo computer, ora ha " la cosa che possiedi ".

Dalla lettura della sorgente sembra che il segreto sia memorizzato su Yubikey e memorizzato più volte crittografato con chiavi diverse all'interno del file otp.xml. Le chiavi di crittografia derivano dai successivi n OTP (derivati dal segreto) a partire da OTP i..i + m dove i è il contatore corrente e m è il valore di previsione. Quando l'utente immette i propri valori OTP, il plug-in crea una chiave da tali valori e tenta di decodificare una delle copie crittografate del segreto utilizzando tale chiave. In caso di successo, il segreto viene utilizzato per derivare le successive OTP n + m e generare le chiavi m utilizzate per crittografare il segreto per la prossima volta prima di sbloccare il database. Ciò significa che la protezione non può essere aggirata senza avere una copia del segreto, che non è memorizzato in testo normale accanto al database.

Sebbene apparentemente sicuro, non mi piace questo plugin a causa della possibilità che i contatori non vadano fuori sincrono. Assicurati di avere una copia del segreto scritta da qualche parte al sicuro.

KeePass ha una chiave master che viene crittografata normalmente con la tua password. Se tale chiave è crittografata con qualcosa generato da OTP e password, allora entrambi i meccanismi sarebbero necessari per decrittografare la chiave master che crittografa l'archivio dati. Detto questo, non sono sicuro di come potrebbero aver implementato una configurazione OTP che è sicura poiché normalmente un OTP è un metodo di autenticazione piuttosto che una memorizzazione delle chiavi (ovvero, non so come avresti l'OTP a sbloccare la chiave) .

È inoltre sospetto che possano impedire efficacemente la riproduzione poiché il db è controllato da un utente malintenzionato nella maggior parte degli scenari di attacco, ma non necessariamente nel modo previsto. Potrebbero avere un modo per aggirare questo problema, ma non riesco a pensarne uno.

Sì, la sicurezza è migliorata perché esiste una "password" HOTP aggiuntiva. Questo sventerebbe i trojan keylogger che possono catturare le normali password.